D Blog

Just do it!

Vulerabilities in multi-factor authentication(多因素身份验证中的漏洞)

1. 2FA simple bypass(绕过两因素验证) 例子: 你已經有一個網站的有效用戶名和密碼,但是你卻沒有用戶的2FA驗證碼. Your credentials: wiener:peter Victim’s credentials: carlos:montoya 1.登錄你自己的帳號.你的2FA驗證碼會發送到你的email.點擊Email client按鈕查看你的郵件. ...

Posted by D on September 23, 2020

如何在CentOS 8上使用Let's Encrypt配置Nginx

參考:How to configure Nginx with Let’s Encrypt on CentOS 8

Posted by D on September 22, 2020

在FreeBSD12.0上安裝acme.sh客戶端獲取TLS證書

1.安裝前環境準備 # freebsd-update fetch install # pkg update && pkg upgrade -y 安裝依賴包 pkg install -y unzip wget bash socat git 2.安裝 acme.sh # pkg install -y acme.sh 3.爲你的域名獲取RSA或者ECDSA證書 注意:證...

Posted by D on September 20, 2020

在FreeBSD12.0上安裝Nginx

1.安裝Nginx # pkg install nginx 使能Nginx # sysrc nginx_enable=yes 2.設置防火牆PF允許Nginx服務 # vi /etc/pf.conf 允許Nginx的服務的流量進和出,這裏HTTP在80端口,HTTPS在443端口 pass in on vtnet0 proto tcp to port { 80 443 } pass o...

Posted by D on September 20, 2020

HTTP Headers解析

X-Request-Id : 客戶端創建的隨機的ID,且把它上傳給服務器.服務器會把X-Request-Id包含在它自己創建的日記里面.這樣如果一個客戶端接收到錯誤,那麼它可以在錯誤報告中包含X-Request-Id,這樣就允許服務器管理員根據X-Request-Id去精準定位相關日記(這樣就不用依賴時間戳,IPs,等等這些東西了). X-Request-Id 解決的問題: ...

Posted by D on September 19, 2020

git常用命令

1.本地與遠程互動操作 git clone : 克隆遠程庫 功能: 1. 完整的克隆遠程庫爲本地庫 2.爲本地庫新建 origin 別名 3.初始化本地庫 git push : 本地庫某個分支推送到遠程庫,分支必須指定 git pull : 把遠程庫的修改拉取到本地 tip: 該命令包括 gi...

Posted by D on September 19, 2020

FreeBSD SSH 安全配置

1.配置/etc/ssh/sshd_config # vi /etc/ssh/sshd_config 1.1 禁止使用root登錄ssh #PermitRootLogin yes PermitRootLogin no 默認允許root登錄,所以值默認爲yes,把它改爲no. 1.2 修改ssh默認端口,默認爲22,修改1024-65535 之間的值(<1024值爲系統預...

Posted by D on September 19, 2020

FreeBSD12.0 安裝防火牆PF(Packet Filter)

1.創建防火牆PF的配置文件 # vi /etc/pf.conf 1.1 配置內容及解析如下: # 設置宏變量, 引用時在變量名前加美元符合即可 vtnet0 = "vtnet0" # 虛擬網卡接口 vtnet0 # ICMP是联网设备用于各种类型通信的多用途消息传递协议。 例如,ping实用程序使用一种称为 # 回显请求(echoreq)的消息类型...

Posted by D on September 19, 2020

在V2ray服務器上Nginx的配置

v2ray模式vmess+tls+nginx+cdn,網絡的連接流程如下: 客戶端瀏覽器(443)–>CDN(Cloudflare)轉發–>Nginx再轉發–>v2ray對應的端口和path下–>外網 其中nginx和v2ray都是在同一個vps下面的,爲了安全,nginx需要將http的流量全部都轉爲https. 那麼nginx究竟該如何配置呢?如下: n...

Posted by D on September 18, 2020

基于密码登录中的漏洞(Vulnerabilities in password-based login)

1.1 通过不同的响应枚举用户名(Username enumeration via different responses) 比如: 1.输入错误的用户名,返回Invalid username错误信息.可以利用Invalid username枚举出正确的用户名. 2.输入错误的密码,返回Incorrect password错误信息.可以利用Incorrect password枚举出正确的密码...

Posted by D on September 18, 2020

FEATURED TAGS
shadowsocks v2ray Broken Access Control XSS Recon linux_basic SecTools git Freedom psychology health web hacking food FastDFS nginx MySQL FreeBSD NTP authentication freebsd acme.sh let's encrypt
ABOUT ME

Just do it!